Bei der Bereitstellung wird ein Gerät eingerichtet, das mithilfe von
policies
durch enterprise
Während der Installation auf dem Gerät
Android Device Policy zum Empfangen und Erzwingen von policies
Wenn
die Bereitstellung erfolgreich war, erstellt die API ein devices
-Objekt, das die
einem Unternehmen zu übertragen.
Die Android Management API verwendet Registrierungstokens, um die Bereitstellung auszulösen . Mit dem Registrierungstoken und der Bereitstellungsmethode, die Sie verwenden, wird ein Geräteeigentümerschaft (private oder unternehmenseigene Geräte) und Verwaltungsmodus (Arbeit) oder ein vollständig verwaltetes Gerät).
Private Geräte
Android 5.1 oder höher
Auf Geräten, die Mitarbeitern gehören, kann ein Arbeitsprofil eingerichtet werden. Ein Arbeitsprofil
bietet einen eigenständigen, vom privaten Bereich getrennten Bereich für geschäftliche Apps und Daten.
Apps und Daten. Die meisten App-, Daten- und anderen Verwaltungsfunktionen policies
gelten für das
nur das Arbeitsprofil verwendet, während die privaten Apps und Daten des Mitarbeiters privat bleiben.
Wenn Sie ein Arbeitsprofil auf einem privaten Gerät einrichten möchten, erstellen Sie eine Registrierung
Token (allowPersonalUsage
muss auf
PERSONAL_USAGE_ALLOWED
) und verwenden Sie eine der folgenden Bereitstellungsmethoden:
- Arbeitsprofil über die Einstellungen hinzufügen
- Android Device Policy herunterladen
- Link zu Registrierungstoken
- Anmelde-URL
Unternehmenseigene Geräte für die Arbeit und den privaten Gebrauch
Android 8 oder höher
Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten, für den beruflichen und privaten Gebrauch. Auf unternehmenseigenen Geräten mit Arbeitsprofilen:
- Für das Arbeitsprofil gelten die meisten App-, Daten- und andere Verwaltungsfunktionen
policies
. - Das private Profil des Mitarbeiters bleibt privat. Unternehmen können jedoch bestimmte geräteübergreifende Richtlinien und Richtlinien zur persönlichen Nutzung durchzusetzen.
- Unternehmen können mit
blockScope
Compliance-Aktionen auf einem das gesamte Gerät oder nur das Arbeitsprofil. devices.delete
und Gerätebefehle gelten für das gesamte Gerät.
Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten möchten, erstellen Sie eine Registrierung
Token (stellen Sie sicher,
allowPersonalUsage
ist auf PERSONAL_USAGE_ALLOWED
gesetzt) und verwenden eine der
folgenden Bereitstellungsmethoden:
Unternehmenseigene Geräte, die ausschließlich für geschäftliche Zwecke verwendet werden
Android 5.1 oder höher
Die vollständige Geräteverwaltung eignet sich für unternehmenseigene Geräte, auf denen ausschließlich für Arbeitszwecke. Unternehmen können alle Apps auf dem Gerät und kann das gesamte Spektrum der Richtlinien und Befehle der Android Management API erzwingen.
Sie können ein Gerät auch über eine Richtlinie für eine einzelne App oder
kleine Gruppe von Apps für einen speziellen Zweck oder Anwendungsfall Diese Untergruppe vollständiger
Verwaltete Geräte werden als dedizierte Geräte bezeichnet. Registrierungstokens für
Für diese Geräte muss allowPersonalUsage
auf
PERSONAL_USAGE_DISALLOWED_USERLESS
Wenn Sie die vollständige Verwaltung
auf einem unternehmenseigenen Gerät einrichten möchten,
und sicherstellen, dass allowPersonalUsage
auf
PERSONAL_USAGE_DISALLOWED
oder
PERSONAL_USAGE_DISALLOWED_USERLESS
,
und verwenden Sie eine der folgenden Bereitstellungsmethoden.
- Zero-Touch-Registrierung
- QR-Code
- Anmelde-URL (nicht für zweckbestimmte Geräte geeignet)
- NFC
- DPC-Kennung
Richtlinien können sich auf die Generierung der UI bei der Gerätebereitstellung auswirken. Zu diesen Richtlinien gehören:
PasswordPolicyScope
: Damit legen Sie die Passwortanforderungen fest.PermittedInputMethods
: Dadurch werden die Paketeingabemethoden bestimmt.PermittedAccessibilityServices
: Damit wird festgelegt, welche Bedienungshilfen für vollständig verwaltete Dienste zulässig sind und das Arbeitsprofil.SetupActions
: Damit wird festgelegt, welche Aktionen während der Einrichtung ausgeführt werden.ApplicationsPolicy
: Dadurch wird die Richtlinie für eine einzelne App festgelegt.
Wenn Sie möchten, dass neben der Installation geschäftlicher Apps Passwortschritte angezeigt werden Geräteregisterkarten während der Gerätebereitstellung aktualisiert werden, um den Start der Generierung der Benutzeroberfläche zu verzögern, indem das Gerät in einem Quarantänestatus, der auftritt, wenn das Konto ohne zugehörige Richtlinie registriert wurde, bis die endgültige ausgewählte Richtlinie für die Geräteeinrichtung mit Elementen festgelegt wird die für Ihre Einrichtungsanforderungen relevant sind. Sobald die Gerätebereitstellung abgeschlossen ist, abgeschlossen ist, können Sie die Richtlinie ändern: erforderlich.
Registrierungstoken erstellen
<ph type="x-smartling-placeholder">Sie benötigen ein Registrierungstoken für jedes Gerät, das Sie registrieren möchten. Sie können
dasselbe Token für mehrere Geräte verwenden. Rufen Sie zum Anfordern eines Registrierungstokens folgenden Befehl auf:
enterprises.enrollmentTokens.create
Registrierungstokens laufen nach einem
Stunde standardmäßig (Stunde), Sie können aber eine benutzerdefinierte Ablaufzeit (duration
) festlegen
bis zu 10.000 Jahre alt sein.
Bei einer erfolgreichen Anfrage wird ein enrollmentToken
-Objekt zurückgegeben, das ein
enrollmentTokenId
und eine qrcode
, die IT-Administratoren und Endnutzer für Folgendes verwenden können:
Geräte bereitzustellen.
Richtlinie angeben
Sie können in der Anfrage zum Anwenden einer Richtlinie auch eine policyName
angeben
zur selben Zeit, zu der ein Gerät registriert wird. Wenn Sie keinen policyName
angeben, lesen Sie
Geräte ohne Richtlinie registrieren
Persönliche Nutzung angeben
allowPersonalUsage
legt fest, ob dem Gerät ein Arbeitsprofil hinzugefügt werden kann
während der Bereitstellung. Legen Sie PERSONAL_USAGE_ALLOWED
fest, damit Nutzer Folgendes erstellen können:
Arbeitsprofil (erforderlich für private Geräte, optional für unternehmenseigene Geräte)
Geräte).
Über QR-Codes
QR-Codes sind eine effiziente Methode für die Gerätebereitstellung in Unternehmen, die
unterschiedliche Richtlinien verwalten. Der QR-Code, der von
enterprises.enrollmentTokens.create
besteht aus einer Nutzlast von Schlüssel/Wert-Paaren.
Es enthält ein Registrierungstoken und alle Informationen, die für Android
Device Policy, um ein Gerät bereitzustellen.
Beispiel für ein QR-Code-Bundle
Das Paket enthält den Downloadpfad von Android Device Policy und ein Registrierungstoken.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Du kannst den QR-Code verwenden, den du von enterprises.enrollmentTokens.create
erhalten hast
direkt bearbeiten oder anpassen. Eine vollständige Liste der Eigenschaften, die Sie in
eines QR-Code-Bundles, siehe QR-Code erstellen.
Verwende einen QR-Code-Generator, um den String qrcode
in einen scannbaren QR-Code umzuwandeln
wie ZXing.
Bereitstellungsmethoden
In diesem Abschnitt werden verschiedene Methoden zur Bereitstellung eines Geräts beschrieben.
Arbeitsprofil über „Einstellungen“ hinzufügen
Android 5.1 oder höher
So können Nutzer ein Arbeitsprofil auf ihrem Gerät einrichten:
- Gehen Sie zu Einstellungen > Google > Einrichtung und Wiederherstellen.
- Tippen Sie auf Arbeitsprofil einrichten.
Mit diesen Schritten wird ein Einrichtungsassistent gestartet, der Android Device Policy auf die . Als Nächstes wird der Nutzer aufgefordert, einen QR-Code oder Sie müssen ein Registrierungstoken manuell eingeben, um die Einrichtung des Arbeitsprofils abzuschließen.
Android Device Policy herunterladen
Android 5.1 oder höher
Zur Einrichtung eines Arbeitsprofils auf seinem Gerät kann ein Nutzer Android-Gerät aus dem Google Play Store. Nach der Installation der App wird der Nutzer aufgefordert, einen QR-Code einzugeben oder manuell einen Registrierungstoken, um die Einrichtung des Arbeitsprofils abzuschließen.
Link zum Registrierungstoken
Android 5.1 oder höher
Mit dem von enrollmentTokens.create
zurückgegebenen Registrierungstoken oder dem
signinEnrollmentToken
des Unternehmens,
generiert eine URL im folgenden Format:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Sie können diese URL an IT-Administratoren weitergeben, damit sie sie an ihre Endnutzer weitergeben können. Wenn Endnutzer den Link auf ihrem Gerät öffnen, werden sie durch Arbeitsprofil einrichten.
Anmelde-URL
Bei dieser Methode werden Nutzer auf eine Seite weitergeleitet, auf der sie zusätzliche Informationen, die für die Bereitstellung erforderlich sind. Basierend auf den Informationen, gibt, können Sie die entsprechende Richtlinie für den Nutzer berechnen, bevor Sie fortfahren. bei der Gerätebereitstellung. Beispiel:
Geben Sie Ihre Anmelde-URL in
enterprises.signInDetails[]
an. FestlegenallowPersonalUsage
bisPERSONAL_USAGE_ALLOWED
, wenn Sie einem Nutzer erlauben möchten Um ein Arbeitsprofil zu erstellen (erforderlich für private Geräte, optional für unternehmenseigene Geräte).Fügen Sie die resultierende
signinEnrollmentToken
als zusätzliche Bereitstellung zu einem QR hinzu. Code, NFC-Nutzlast oder Zero-Touch Konfiguration. Alternativ können Sie densigninEnrollmentToken
direkt an Nutzer.Wählen Sie eine Option aus:
- Unternehmenseigene Geräte:nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts
Gerät, gib die
signinEnrollmentToken
per QR-Code oder NFC an das Gerät weiter bump usw.) oder bitten Sie die Nutzer, das Token manuell einzugeben. Das Gerät wird Öffnen Sie die in Schritt 1 angegebene Anmelde-URL. - Private Geräte:Bitten Sie Nutzer, ein Arbeitsprofil über
„Einstellungen“. Wenn der Nutzer dazu aufgefordert wird,
scannt einen QR-Code mit der
signinEnrollmentToken
oder gibt den Token manuell eingeben. Auf dem Gerät wird die in Schritt festgelegte Anmelde-URL geöffnet. 1. - Private Geräte: Stellen Sie Nutzern ein Registrierungstoken zur Verfügung.
Link, wobei das Registrierungstoken das
signinEnrollmentToken
Auf dem Gerät wird die angegebene Anmelde-URL geöffnet. in Schritt 1.
- Unternehmenseigene Geräte:nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts
Gerät, gib die
Prüfen Sie, ob der Nutzer bereits von Google authentifiziert wurde. Gerät kaufen Bereitstellungsinformationen (während der Geräteregistrierung) mithilfe des GET-Parameters
provisioningInfo
und suchen Sie nach einem Wert für das FeldauthenticatedUserEmail
. Wenn dieses Feld einen Wert enthält, war der Nutzer wurde bereits von Google authentifiziert und Sie können diese Identität verwenden, ohne weitere Authentifizierung.Wenn Google den Nutzer noch nicht authentifiziert hat, ist Ihre Anmelde-URL Nutzer zur Eingabe ihrer Anmeldedaten auffordern. Aufgrund der Identität der Person, kann die passende Richtlinie ermitteln und die Gerätebereitstellung abrufen Informationen (während der Geräteregistrierung) mithilfe des GET-Parameters
provisioningInfo
Rufe
enrollmentTokens.create
auf und gib die entsprechendepolicyId
an. die auf den Anmeldedaten des Nutzers basieren.Geben Sie das in Schritt 5 generierte Registrierungstoken mithilfe der URL-Weiterleitung im Formular
https://enterprise.google.com/android/enroll?et=<token>
.
QR-Code-Methode
Android 7.0 oder höher
Für die Bereitstellung eines unternehmenseigenen Geräts können Sie einen QR-Code generieren lassen Code und zeigen Sie ihn in Ihrer EMM-Konsole an:
- Auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät tippt der Nutzer (in der Regel ein IT-Administrator) auf die Bildschirm sechsmal an derselben Stelle. Dadurch wird das Gerät dazu aufgefordert, um einen QR-Code zu scannen.
- Der Nutzer scannt den QR-Code, den Sie in Ihrer Verwaltungskonsole anzeigen (oder ähnlichen Anwendungen), um das Gerät zu registrieren und bereitzustellen.
NFC-Methode
Android 6.0 oder höher
Bei dieser Methode müssen Sie eine NFC-Programmierer-App erstellen, die die Registrierungstoken, Anfangsrichtlinien, WLAN-Konfiguration, -Einstellungen und alles weitere Details, die Ihr Kunde benötigt, um ein verwalteten oder zweckbestimmten Geräts. Wenn Sie oder Ihr Kunde NFC installieren Programmierer-App auf einem Android-Gerät installiert, wird dieses Gerät zum Programmierer, .
Eine ausführliche Anleitung zur Unterstützung der NFC-Methode finden Sie im Google Play-EMM API-Entwickler Dokumentation. Die Website enthält auch Beispielcode der Standard- Parameter gesendet mit einem NFC-Bump. Richte den Download ein, um die Android Device Policy zu installieren Speicherort des Geräteverwaltungspakets an:
https://play.google.com/managed/downloadManagingApp?identifier=setup
DPC-Kennungsmethode
Wenn die Android Device Policy nicht per QR-Code oder NFC hinzugefügt werden kann, muss ein Nutzer oder IT-Administrator können Sie wie folgt ein unternehmenseigenes Gerät bereitstellen:
- Folgen Sie auf einem neuen oder auf den Werkszustand zurückgesetzten Gerät dem Einrichtungsassistenten.
- Gib die Wifi-Anmeldedaten ein, um das Gerät mit dem Internet zu verbinden.
- Wenn Sie zur Anmeldung aufgefordert werden, geben Sie afw#setup ein. Dadurch wird Android Geräterichtlinien.
- Scannen Sie einen QR-Code oder geben Sie manuell ein Registrierungstoken ein, um das Gerät bereitstellen.
Zero-Touch-Registrierung
Android 8.0 oder höher (Pixel 7.1 und höher)
Geräte, die bei einem autorisierten Zero-Touch-Reseller gekauft wurden, können Zero-Touch-Registrierung, eine optimierte Methode zur Vorkonfiguration von Geräten, werden beim ersten Start automatisch bereitgestellt.
Organisationen können Konfigurationen mit Bereitstellungsdetails für Zero-Touch-Geräte ihrer Kunden, entweder über das Portal für die Zero-Touch-Registrierung oder über die EMM-Konsole (siehe Zero-Touch-Kunden-API). Am ersten überprüft ein Zero-Touch-Gerät, ob ihm eine Konfiguration zugewiesen wurde. Wenn ja, lädt das Gerät die Android Device Policy herunter, wodurch die Einrichtung der Gerät mit den Bereitstellungsextrakten, die in der zugewiesenen Konfiguration angegeben sind.
Wenn Ihre Kunden das Portal für die Zero-Touch-Registrierung verwenden, müssen sie Android Device Policy als EMM-DPC für jede Konfiguration aus, erstellen. Detaillierte Anweisungen zur Verwendung des Portals, einschließlich einer Anleitung zum Erstellen und Zuweisen von Konfigurationen zu Geräten, sind in der Android Enterprise- Google Ads-Hilfe.
Wenn Sie es bevorzugen, dass Ihre Kunden Konfigurationen direkt über Ihr
Die EMM-Konsole müssen Sie in die Zero-Touch-Kunden-API einbinden. Wann?
Erstellen einer Konfiguration die Bereitstellungsoptionen im
dpcExtras
. Das folgende JSON-Snippet zeigt ein einfaches Beispiel dafür,
in dpcExtras
mit einem hinzugefügten Anmeldetoken aufnehmen.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
App während der Einrichtung starten
In policies
kannst du eine App angeben, die für Android Device Policy gestartet werden soll
bei der Einrichtung des Geräts oder des Arbeitsprofils. Sie können beispielsweise eine VPN-App starten,
Nutzer können VPN-Einstellungen im Rahmen der Einrichtung konfigurieren. Die App muss
RESULT_OK
zurückgeben, um den Vorgang zu signalisieren und Android Device Policy Folgendes zu gestatten:
die Bereitstellung von Geräten oder Arbeitsprofilen
abzuschließen. So starten Sie eine App während der Einrichtung:
Achten Sie darauf, dass für die installType
der App REQUIRED_FOR_SETUP
festgelegt ist. Wenn die App nicht
installiert oder gestartet wurde, schlägt die Bereitstellung fehl.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Fügen Sie den Paketnamen der App zu setupActions
hinzu. title
und description
für Folgendes verwenden:
Anweisungen für den Nutzer anzugeben.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Um zu erkennen, ob eine App über launchApp
gestartet wurde, wird die entsprechende Aktivität
der erstmalig im Rahmen der App gestartet wurde, enthält den booleschen Intent „Extra“
com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(festgelegt auf
true
. Mit diesem Zusatz kannst du deine App je nachdem,
vom setupActions
oder einem Nutzer gestartet.
Nachdem die App RESULT_OK
zurückgegeben hat, schließt Android Device Policy alle verbleibenden
Schritte, die zur Bereitstellung des Geräts oder Arbeitsprofils erforderlich sind.
Registrierung während der Einrichtung abbrechen
Wenn die App als SetupAction gestartet wird, kann die Rückgabe der Registrierung abgebrochen werden
RESULT_FIRST_USER
Durch die Stornierung der Registrierung wird ein unternehmenseigenes Gerät zurückgesetzt oder die Arbeit gelöscht auf einem privaten Gerät einrichten.
Hinweis: Durch das Abbrechen der Registrierung wird die Aktion ohne Nutzer ausgelöst.
Bestätigungsdialogfeld. Es liegt in der Verantwortung der App, eine angemessene Anzeige
Fehlerdialogfeld an den Nutzer, bevor RESULT_FIRST_USER
zurückgegeben wird.
Richtlinie auf neu registrierte Geräte anwenden
Welche Methode Sie verwenden, um Richtlinien auf neu registrierte Geräte anzuwenden, bleibt Ihnen überlassen. die Anforderungen Ihrer Kundschaft zu erfüllen. Hier sind die verschiedenen Ansätze, verwenden:
(Empfohlen) Beim Erstellen eines Registrierungstokens können Sie Name der Richtlinie (
policyName
), die anfangs mit der . Wenn Sie ein Gerät mit dem Token registrieren, wird die Richtlinie automatisch auf das Gerät angewendet.Legen Sie eine Richtlinie als Standardrichtlinie für ein Unternehmen fest. Wenn kein Richtlinienname im Registrierungstoken angegeben ist und es eine Richtlinie mit dem Namen gibt
enterprises/<enterprise_id>/policies/default
, jedes neue Gerät ist bei der Registrierung automatisch mit der Standardrichtlinie verknüpft wird.Abonnieren Sie ein Cloud Pub/Sub-Thema, Benachrichtigungen über neu registrierte Geräte erhalten. Als Reaktion auf eine
ENROLLMENT
-Benachrichtigung,enterprises.devices.patch
anrufen für Verknüpfen Sie das Gerät mit einer Richtlinie.
Gerät ohne Richtlinie registrieren
Wenn ein Gerät ohne gültige Richtlinie registriert wird, wird es in Quarantäne stellen. Geräte in Quarantäne werden für alle Gerätefunktionen blockiert, bis das Gerät mit einer Richtlinie verknüpft ist.
Wenn ein Gerät nicht innerhalb von fünf Minuten mit einer Richtlinie verknüpft ist, schlägt fehl und das Gerät wird auf die Werkseinstellungen zurückgesetzt. Der Quarantäne-Gerätestatus gibt Ihnen die Möglichkeit, Möglichkeit, Lizenzierungsprüfungen oder andere Registrierungsprüfungen durchzuführen Prozesse als Teil Ihrer Lösung.
Beispiel für einen Workflow für die Lizenzierungsprüfung
- Ein Gerät wird ohne Standardrichtlinie oder bestimmte Richtlinie registriert.
- Prüfen Sie, wie viele Lizenzen das Unternehmen noch hat.
- Wenn Lizenzen verfügbar sind, verwenden Sie
devices.patch
, um eine an das Gerät und senkt dann die Anzahl der Lizenzen. Wenn keine Lizenzen verfügbar, verwenden Siedevices.patch
, um das Gerät zu deaktivieren. Alternativ setzt die API alle Geräte, die nicht mit einem innerhalb von fünf Minuten nach der Registrierung.